Certificat et Nom de Domaine Wildcard : avoir autre chose que la page de Webstation si rien ne correspond dans le reverse proxy ?

[MilesTEG1]

Bonjour,

La situation : j'ai un nom de domaine miles.tld et un certificat wildcard fonctionnel, merci à  @Einsteinium m'a proposé de faire un nouveau sujet 🙂  pour exposer la question de ce sujet.

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :

Puis si je force la connexion, j'aboutie à la page de webstation :

 

Donc  la connexion s'est quand même établie.
N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

Merci d'avance 🙂 

 

[.Shad.]

il y a 3 minutes, MilesTEG1 a dit :

J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser.
Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu.

Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

il y a 5 minutes, MilesTEG1 a dit :

N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

[Einsteinium]

Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂

[MilesTEG1]

il y a une heure, .Shad. a dit :

Non, si tu arrives sur un avertissement c'est que tu n'as pas un certificat wildcard, ou que tu fais un renouvellement de type http (avec ouverture de ports) et que blabla.miles.tld n'est pas un domaine pour lequel un certificat a été émis.

J'ai expliqué dans la parenthèse 🙂 
Le wildcard n'était pas mis pour tous les services du NAS. Dont le "Paramètre système par défaut".
En mettant le wilkdcard sur ce service, je n'ai plus l'alerte de sécurité.
 

Mon soucis n'était pas là dessus 😉

il y a une heure, .Shad. a dit :

Pour une 404 il ne faut pas mettre d'enregistrement wildcard dans ta zone DNS publique, et ajouter les domaines que tu utilises seulement.
Ainsi blabla.miles.tld n'amènera à rien, donc 404.

Oui c'est une solution que je pourrais faire 🙂  Un peu plus contraignant, mais fonctionnelle, c'est ce que je faisais avant.

il y a 49 minutes, Einsteinium a dit :

Je t’ai donné la solution dans l’autre topic pour sa, mais faudra mettre en défaut le wildcard 🙂

Yep, j'ai d'ailleurs des questions à ce propos.
J'ai pas le temps là tout de suite , mais tout à l'heure je reposterais ta solution avec les questions qui vont avec 😉 

 

merci bien en tout cas 😇

[MilesTEG1]

Alors, voilà, j'ai chouilla de temps avant d'aller dormir 😉

Le 17/05/2021 à 16:26, Einsteinium a dit :

On s'écarte du tutoriel par contre, donc faudra faire un topic à part si tu as d'autres questions HS 🙂

Alors j'ai une technique perso contre les sous domaine inexistant assez simple et qui oblige à abandonner le dossier web pour la racine, mais cela évite de modifier en ssh des fichiers systèmes susceptible de sauté au update, suffit de masqué sa vue dans filestation ensuite ou alors de le gardé si on a des scripts perso qu'on place dans des sous dossiers (en fessant des virtual host)

- A la racine du dossier web, tu mets un access qui deny.

 

Qu'est ce que tu entends par ce que j'ai mis en gras ?

Pour le .htaccess, est-ce que ça pourrait faire l'affaire :
 

order allow,deny
deny from all
allow from IP

avec à la place de IP quelques IP qui auraient accès au dossier ? J'avais un projet d'écran de station météo (un peu à l'arrêt mais que je pourrais reprendre) qui utilisait un script PHP pour récupérer des données.

Le 17/05/2021 à 16:26, Einsteinium a dit :

- dans web station maintenant :

1) Portail de service web : par defaut avec le jocker, je mets apache au lieu de nginx

2) paramètre de la page d'erreur, profil de defaut, une redirection 302 vers mon domaine.tld

3) dans portail web je fais un virtual host avec domaine.tld qui pointe vers sa nouvelle racine

POur le point 1), je ne vois pas trop de quoi tu parles...
Est-ce que c'est ça ?

Pour les point 2 et 3, je sèche. Je ne vois pas de quoi tu parles 😓

 

[Einsteinium]

Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^'

désormais c'est plutôt :

Require all denied
Require ip 192.168.0

Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi)

[MilesTEG1]

il y a une heure, Einsteinium a dit :

Ah... je suis sous dsm 7, nous n'avons donc pas la même chose ^^'

désormais c'est plutôt :

Require all denied
Require ip 192.168.0

Bref pour le coup tu as des manques par rapport à dsm 7 (partie virtual host différente et plus complet, gestion des pages d'erreurs aussi)

Ha mince...
Bon bah pour le moment le plus sûr/simple serait de désactiver la redirection wildcard sur mon nom de domaine et de faire à la main les différents domaines...
Qu'en penses-tu ? C'est risqué de laisser le wildcard sur le domaine ?

[Einsteinium]

On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉

[MilesTEG1]

Il y a 1 heure, Einsteinium a dit :

On a la même configuration, tu peux migré sous dsm 7 sans soucis 😉

Hmmm j’ai peur un peu pour mes données et tout…

car après tout dsm 7 reste une version bêta. Qui ne semble pas avoir eu de mise à jour depuis plusieurs mois…

Pour jouer la la sécurité, je préfère attendre une version finale .

[Einsteinium]

Par de maj oui, elle est déjà proche de la finale de part sa stabilité 😉

J’ai du remonté 2/3 anecdotes, mais je n’ai constaté aucun bug ou problème majeure, d’une stabilité à toute épreuve.

[MilesTEG1]

Ça semble être bon signe 😊

 mais alors, pourquoi le version finale met tant de temps à sortir ?

 En tout j’ai hâte 😁

[MilesTEG1]

@Einsteinium Vu que tu es sous dsm7, tu voudrais bien faire, s'il te plait, un petit test avec un nom de domaine qui passe par le reverse proxy ?

Mettre ton ndd là : https://www.ssllabs.com/ssltest/

et me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

Et un peu plus bas :

 

Je te remercie d'avance 😉

[Einsteinium]

Il y a 14 heures, MilesTEG1 a dit :

mais alors, pourquoi le version finale met tant de temps à sortir ?

Car synology fait de la merde totale niveau com, suffit de voir le forum de la communauté principale (anglaise), il en prenne plein la gueule à faire les morts...

Il y a 5 heures, MilesTEG1 a dit :

si tu as le TLS 1.3 avec DSM7

Normal sous dsm 6 c'est une vieille version qui ne le supportera pas, sous dsm 7 le 1.3 est disponible 😉

[MilesTEG1]

Ok, c'est ce que j'avais cru comprendre. Me faut DSM7 alors ! mais pas une béta !!
Synology, bougez-vous le *$% !!!

[.Shad.]

En même temps ça fait longtemps que j'ai vu tourner sous Reddit la date de fin Juin, début Juillet, donc j'ai plutôt l'impression qu'ils sont dans les temps s'ils sortent la RC d'ici 2-3 semaines.

Mais à titre personnel je pense que ça n'arrivera pas avant Août, je n'ai jamais vu une version beta qui n'évolue pas avant la RC ou release.
Car les modifications qu'ils font pour corriger les bugs de la beta actuelle peuvent très bien en induire d'autres.

[MilesTEG1]

@Einsteinium

Maintenant que j'ai craqué pour installé DSM7 RC, j'ai probablement la possibilité de personnaliser l'arrivée sur un domaine non référencé dans le reverse proxy.
Pourrais-tu m'aider ?

Merci d'avance 😉

 

[Einsteinium]

On peut voir à ce faire une session TeamViewer a un moment, faut un message privé avec tes dispos de demain

[MilesTEG1]

Hello 🙂 

Aujourd'hui, je sais pas trop quand je vais avoir de la dispo. Peut-être en début d'après-midi, mais c'est pas sûr... Je te redis.

[Jeff777]

Le 20/05/2021 à 14:11, MilesTEG1 a dit :

me dire si tu as le TLS 1.3 avec DSM7.
Car moi sous DSM6.2, j'ai que le TLS 1.2 :

Je ne connaissais pas ce site et cela m'a donné l'occasion de tester mes deux serveurs (dsm6 et dsm7). Voilà le résultat

 

Apparemment ssllab n'aime pas trop ma config non conventionnelle 🤪

Résultat du premier  nas (dsm7)

Le second dsm6

 

Maintenant je ne sais pas trop quoi en penser 🙄. Des commentaires??

[.Shad.]

Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6.
Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1

[MilesTEG1]

Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7.

 

[Jeff777]

il y a une heure, .Shad. a dit :

Ta note descend car ton niveau de compatibilité est trop permissif sur DSM 6.
Si tu mets compatibilité moderne sur DSM 6 normalement ça limite à TLS 1.2 et TLS 1.1

Bien vu. Avec la compatibilité moderne sur DSM6 ça passe en A (donc dsm6 tls1.2 seulement et dsm7 tls1.2 et 1.3).

Si je mets dsm7 en compatibilité moderne ça ne change rien mais comme j'ai une notification que je risque de perdre la com avec certains périphériques Je suis donc revenu en arrière.

Autre changement : Je n'ai plus le warning : inconsistent server configuration ! 🙂

il y a 34 minutes, MilesTEG1 a dit :

Moi je suis passé de À+ avec dsm 6.2 à juste A avec dsm7.

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Modifié le 4 juin 2021 par Jeff777

[MilesTEG1]

Il y a 2 heures, Jeff777 a dit :

Peut-être que tu as A+ car tu es en HSTS. Je n'ai pas voulu mettre cette option.....je ne sais plus pourquoi mais j'ai lu quelque part que ce n'était pas recommandé.

C'est encore le cas ?

Oui le HSTS est encore activé sur les domaines testés.
Mais les scores sont identiques en valeurs sur tous les tests par rapport à DSM6...

Par contre je viens de refaire le test là, et je suis de nouveau en A+...
Et dans les détails j'ai TLS1.2 qui apparait en vert plus du TLS 1.3 :
 

Quand j'ai fait il hier ou avant hier, j'avais le 1.2 qui était orange et en No...
Bref, je suis 1+ là 😄 

[Jeff777]

@MilesTEG1

Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ??

[MilesTEG1]

il y a 23 minutes, Jeff777 a dit :

@MilesTEG1

Je ne suis pas sûr de comprendre. Tu es en A+ et TLS 1.2 et 1.3 en vert avec HSTS en DSM7 c'est ça ??

Oui c’est ça.

je crois que le test fait il y a quelques jours a eu un bug…